top of page

CRA未対応製品はEUで販売できなくなる時代へ

DIVERTが貴社の製品を確実にCRA対応へ

EUでは2027年から、デジタル製品に厳格なセキュリティ基準が義務化され、
対応していない製品は欧州では販売できなくなります。
ハードもソフトも、設計・開発・運用のすべてに“安全の証明”が求められる新時代。
しかし、その要件は非常に複雑で、国内企業だけで対応しきれないケースも増えています。

 

DIVERTは、欧州法規に精通したブリュッセルの法務パートナーと、ウクライナを中心とした精鋭エンジニアリングチームの力を組み合わせ、貴社の製品を現実的かつ確実にCRA適合へ導く“実務型サポート”を提供します。

ChatGPT Image 2025年12月15日 11_39_52_edited_edited.jpg

CRA(サイバーレジリエンス法)とは?

CRA(サイバーレジリエンス法)とは、EUが定めた“デジタル製品の安全ルール”です


スマホ・タブレット・家電・産業機器・アプリなど、
“動作にデジタル技術を使っている製品・ソフトウェア”をEUで販売する場合、
「安全に設計・開発されています」と証明しなければなりません

例えるならば、日本で車を走らせるには日本の車検が必要なように、
欧州で製品を販売するには「安全であることを証明するEUの仕組み」が必要になります

EUはこれを本気で進めており、
2027年12月以降、この基準を満たさない製品はヨーロッパ(EU加盟国)では販売できません

CRA対応で、企業は何をしなければならないのか?

CRA(サイバーレジリエンス法)では、単に「セキュリティに気をつける」だけでは不十分です。
製品の設計・開発・運用のすべての段階で、
“安全を考慮して作られていること”を説明(証明)できる状態が求められます。

具体的には、

  • どのようなソフトウェアや部品で構成されているのか

  • セキュリティ上の問題が見つかった場合、どう対応するのか

  • 長期間にわたって安全性を維持できる体制があるのか

といった点を、技術と文書の両面で示さなければなりません。

つまり、CRAは努力目標でもなく、書類対応だけのいわゆるお飾りだけで済むものでもありません。
実際のエンジニアリングが法令適合の成否を左右します。

なぜ日本企業はCRA対応に苦戦するのか?

CRA(サイバーレジリエンス法)対応に苦戦する日本企業は少なくありません。
それは能力や姿勢の問題ではなく、CRAそのものが、これまで日本企業が経験してこなかった性質の規制だからです。

まず大きな理由は、法律(法務)とエンジニアリングが完全に結びついている点です。
CRA(サイバーレジリエンス法)は法務部門だけで読んで対応できる法律ではありません。
設計思想、ソースコード、使用しているソフトウェア部品、アップデートの仕組みまで、「実際にどう作られているか」がそのまま法令適合の対象になります。

次に、対応範囲が非常に広いことも難しさの原因です。CRAはハードかソフトのどちらか一方だけを見ればよい規制ではありません。組込みソフト、アプリ、クラウド連携、外部ライブラリ、運用体制まで含めて製品全体を一つの責任範囲として求められます。

さらに、日本企業では

★セキュリティは「後工程」

★法律対応は「書類中心」

★開発は「現場任せ」

という分業体制が一般的です。しかしCRAでは、この分け方が通用せず、部門横断で一貫した考え方と実装が必要になります。

その結果、
「法務は分からない」
「開発は聞いていない」
「現場は手が回らない」
という状態に陥り、
何から着手すべきか分からなくなる企業が多いのが実情です。

こうした背景から、CRA対応には法律を理解できる視点と、実際に手を動かせるエンジニアリングの両方が不可欠になります。

回路基板のクローズアップ

DIVERTのCRA対応が“実務型”である理由

私達は、CRA(サイバーレジリエンス法)対応を「読むだけの法律対応」ではなく、
実際に製品をEUで売り続けるための“現場対応”として支援します。
その実務型アプローチは、次の3つの特長に支えられています。

Image by Waldemar Brandt

EUの法律を
“実装できる要件”
に翻訳する体制

CRAでは、設計・開発・運用の実態そのものが問われます。
DIVERTは、欧州法規に精通したブリュッセルの法務パートナーと連携し、
法的要件を単なる「解釈」や「注意点」で終わらせません。

法律の内容を、エンジニアが実際に対応できる具体的な要件へ落とし込むことを重視し、開発現場で何を変えるべきかが分かる形に整理します。

ノートパソコンに向かう男性

ソースコードと現場を
見たうえでの具体対応

同時に、ウクライナを中心とした精鋭エンジニアリングチームが、
実際のソースコード、構成、設計方針、運用フローを確認します。

CRAの要求に照らしながら、
「何が足りていないのか」

「何を直す必要があるのか」

を、抽象論ではなく、具体的な作業レベルで明確にします。

オプションとして、実際の作業に加わることも有ります。

ウォーターフロントの女性

“誰が・どこを・どう直すか”
まで整理する支援

多くのCRA対応が、
「読めば分かる資料」
「守るべきポイントの一覧」
で終わってしまうのに対し、DIVERTは違います。

“では、誰が・どこを・どう直すのか”までを一緒に整理し、
実行可能な形に落とし込むことを支援します。

当社はハードとソフトの両方を扱ってきた経験から、組込み、アプリ、クラウド、運用体制まで含めた製品全体を一つの責任範囲として見渡すことが可能です。
これは、CRAの要求と非常に相性の良いアプローチです。

こうした実務型の支援によって、DIVERTはCRA対応を
「分からない規制」から「実行できる対応」へ変えていきます。

ChatGPT Image 2025年12月15日 12_24_59_edited.jpg

CRA対応の進め方(支援フローイメージ)

DIVERTでは、CRA対応を段階的・現実的に進めます。
まずは ヒアリングと判定フィードバックまでを1つの契約 とし、
その後の対応は必要に応じてオプションとしてご提案します。

​実例(コンサルティング基本契約)

STEP 1

ヒアリング(現状把握)

最初に、製品や開発状況についてヒアリングを行います。

  • 対象となる製品・サービスの概要

  • ハード/ソフト/クラウドの構成

  • 現在の開発・運用体制

  • EU向け販売の有無・予定

「そもそもCRA対応が必要なのか」
「どこまで関係するのか」
を整理するためのステップです。

STEP 2

CRA該当性・影響範囲の判定

ヒアリング内容をもとに、
CRAの観点から以下を判定します。

  • CRAの対象になるかどうか

  • 対象となる範囲(製品・機能・ソフトウェア)

  • 想定される対応レベルの大枠

STEP 3

判定結果のフィードバック

判定結果を、分かりやすくフィードバックします。

  • 対応が必要なポイント

  • 今すぐ動くべき項目

  • 現時点では対応不要な項目

「何が問題で、何が問題でないのか」
「次に何を考えればよいのか」
が明確になる状態をゴールとします。

ここまでが1つのコンサルティング契約範囲となります。

​実務作業もサポート

ここから先はオプション対応となります。
判定結果を踏まえ、実際の対応が必要と判断された場合にのみ、次のステップを個別オプションとしてご提案します。

分からないところから始めて大丈夫。CRA対応は、一緒に整理すれば進められます。

bottom of page